TAIVA Vault Autor: Taiva Vault

TAIVA Vault. Muito mais que um gerenciador de senhas.

Um cofre zero-knowledge end-to-end para tudo que importa: senhas, 2FA, documentos pessoais, inventário de ativos, assinatura de PDF (Lei 14.063) e herança digital. Toda a criptografia acontece no seu
navegador, o servidor só vê cifrotexto opaco. Subpoena, breach, insider threat: suas informações permanecem protegidas pela matemática, não por política.

▸ O QUE VOCÊ GERENCIA NO TAIVA VAULT

• Senhas, autofill em qualquer site, gerador seguro
• TOTP / 2FA, códigos de autenticação gerenciados localmente
• Notas seguras, texto cifrado E2E
• Carteira de Documentos: RG, CPF, CNH, contratos, diplomas (cifrados no seu dispositivo antes do upload)
• Inventário Pós-Quântico, catálogo de ativos digitais e físicos (PIX, contas, criptomoedas, propriedades)
• Assinatura de PDF (Lei 14.063 Art. 4º II), assinatura avançada com chave própria, dentro do navegador
• Herança Digital, fragmentos selados via Shamir SSS distribuídos entre trustees de confiança, release condicional após óbito ou incapacidade
• Travel Mode, oculta dados sensíveis em viagens (border crossing)
• Panic Mode, SOS silencioso para situações de coação
• Dead Man's Switch, notifica contatos se você sumir por X dias

▸ POR QUE INSTALAR

Você precisa de um cofre digital que sobreviva a você, ao seu provedor e a qualquer ator que tenha incentivo para violar sua privacidade. TAIVA Vault foi projetado para esse cenário: o servidor cai, o operador
some, ou alguém vaza o banco, e seus dados continuam ilegíveis sem suas chaves.

▸ SEGURANÇA QUE VOCÊ PODE AUDITAR

• Zero-knowledge real: a chave de cifragem (DEK) jamais sai do seu dispositivo em forma utilizável pelo servidor.
• Autenticação OPAQUE-3DH (RFC 9497): a senha mestre nunca trafega, nem mesmo o hash. Servidor não verifica offline o que não possui.
• Pós-quântica híbrida: ML-KEM-1024 (NIST FIPS 203) combinada com ECDH P-256, AES-256-GCM cifra os dados. Resistente a "harvest now, decrypt later".
• MPC 2-de-3 com Shamir Secret Sharing (GF 2^8), nós distribuídos entre Brasil e Europa. Comprometer um nó não dá acesso, a reconstrução acontece no seu navegador.
• DEK importada como CryptoKey não-extraível (Web Crypto API): vive em memória C++ do browser, fora do alcance de JavaScript.
• Auto-bloqueio em 15 minutos de inatividade.
• Clipboard auto-limpa 15 segundos depois de copiar uma senha.
• Trusted device com PIN: wipe automático após 10 tentativas incorretas.

▸ INFRAESTRUTURA SERVER-SIDE AUDITÁVEL

• Master secrets isolados em OpenBao (HSM-light) em host dedicado.
• Audit log com Merkle chain SHA-256 ancorado em Bitcoin diariamente (OpenTimestamps), prova externa pública de integridade.
• Banco SQLite com cifragem at-rest AES-256-GCM (libsql encrypted), backup local com AES-256-CBC + PBKDF2 600k iterações, replicação off-site cifrada via Tailscale.
• mTLS entre todos os serviços inter-host.
• Self-hosted Brasil + Europa. Zero dependência de cloud público (sem AWS, GCP ou Azure).

▸ ASSINATURA DE PDF DENTRO DA EXTENSÃO

Assine PDFs (Lei 14.063, AEAd) sem instalar nada extra. Confirme com biometria do dispositivo ou chave de segurança (WebAuthn PRF). A chave privada é dividida via MPC e nunca existe completa em lugar nenhum. O
documento é carimbado, hash ancorado em Bitcoin, verificável publicamente.

▸ A EXTENSÃO

A extensão é a porta de entrada local. Faz autofill de senhas, gera códigos TOTP, assina PDFs e desbloqueia o cofre para acesso ao app web em vault.taiva.com.br (onde os outros módulos vivem). Detecta
formjacking durante o autofill. Sem trackers, sem analytics, sem telemetria.

▸ DIVULGAÇÃO RESPONSÁVEL E TRANSPARÊNCIA

Canal de pesquisa de segurança: contato@taiva.com.br
Safe harbor para pesquisadores: https://vault.taiva.com.br/security
Atestações públicas (SBOM, CBOM, bundle manifest assinado Cosign): https://vault.taiva.com.br/.well-known/

Política de Privacidade: https://vault.taiva.com.br/privacy
Encarregado de Dados (DPO): https://vault.taiva.com.br/dpo
Changelog: https://vault.taiva.com.br/changelog